محققان امنیتی از شناسایی یک بدافزار جدید اندرویدی که کاربران نزدیک به ۳۰۰ برنامهی مالی را در سراسر ایالات متحده و اروپا هدف قرار داده است، هشدار دادهاند. این تهدید که EventBot نام دارد، بهنظر میرسد بهتازگی توسعه یافته است، زیرا کد آن با سایر بدافزارهای اندرویدی موجود تفاوت بسیاری دارد. علاوهبراین، محققان معتقدند که این تروجان و سرقتکنندهی اطلاعات بانکی بهصورت فعال درحال توسعه بوده و بهسرعت در حال تکامل است.
این تروجان برای سوءاستفاده از ویژگیهای دسترسی اندروید برای سرقت اطلاعات کاربر و دستگاه و دادههای برنامههای مختلف، از جمله نرمافزارهای مالی هدف و پیامهای کوتاه طراحی شده است. به گفتهی محققان، با توجه به اینکه دستگاههای تلفن همراه تمایل دارند علاوهبر دادههای شخصی، دادههای تجاری زیادی را نیز ذخیره کنند، بهویژه در سازمانهایی که خطمشی مربوط به همراهداشتن ابزارهای شخصی خود را دارند، احتمال سرقت دادههای تجاری کلیدی توسط بدافزار EventBot بالاتر میرود.
پس از نصب EventBot، این بدافزار مجوزهای زیادی در دستگاه، از جمله قابلیت نمایش در بالای سایر برنامهها، خواندن حافظهی خارجی، نصب بستهها، بازکردن سوکتهای شبکه، پیامهای کوتاه دریافتی یا شروع بلافاصله پس از راهاندازی، را درخواست کرده و از کاربر میخواهد تا به خدمات دسترسی، دسترسی داشته باشد.
یک فایل پیکربندی در مورد این بدافزار، فهرستی از برنامههای هدف شامل ۱۸۵ برنامهی بانکی (برای بانکهای ایتالیا، انگلیس، آلمان، فرانسه، اسپانیا، ایالات متحده، رومانی، ایرلند، هند، اتریش، سوئیس، استرالیا و لهستان) و ۱۱۱ برنامهی مالی جهانی مانندPaypal Business ،Revolut ،Barclays ، UniCredit،CapitalOne UK ،HSBC UK ،Santander UK ،TransferWise ، Coinbase و paysafecard را ارائه میدهد.
این تروجان فهرستی از برنامههای نصبشده و اطلاعات سیستم را پرسوجو کرده و تمامی دادهها را بهصورت رمزنگاریشده به سرور فرمان و کنترل خود ارسال میکند. این بدافزار، همچنین میتواند پیامهای کوتاه را تجزیه کند که به آن، امکان دورزدن محافظتهای احراز هویت دو عاملی را میدهد.
از سوی دیگر، تابعی به نام parseCommand، امکان بهروزرسانی فایلهای پیکربندی، تزریقهای وب، سرورهای فرمان و کنترل و موارد مشابه را برای بدافزار فراهم میکند. به این ترتیب، بدافزار میتواند ماژول اصلی خود را بهروز کرده و همچنین، این ماژول را بهصورت پویا بارگذاری کند. نسخههای جدیدتر این تروجان امکان ردیابی تغییرات کد PIN در تنظیمات دستگاه را نیز دارند.
بررسیهای صورتگرفته بر روی بدافزار EventBot، چندین نمونهی بارگذاری شده در VirusTotal توسط یک کاربر را نشان میدهد و محققان معتقدند که این بارگذاریها یا از طریق دستگاه نویسنده و یا از یک سرویس تشخیص انجام شده است که این سرویس به نوبهی خود، نمونههایی را به پایگاه دادههای آنلاین بدافزار ارسال میکند.
درحالحاضر، بهنظر نمیرسد که تروجان EventBot در یک پویش واقعی استفاده شده باشد و محققان هنوز نتوانستهاند آن را به یک مهاجم خاص نسبت دهند. بااینحال، آنها انتظار دارند که با تکمیل توسعهی آن، این بدافزار به انجمنهای زیرزمینی نسبت داده شود.
بااینحال، محققان توانستهاند این بدافزار را به سرور فرمان و کنترلی که یک تروجان اندرویدی سرقتکنندهی اطلاعات، از آن در حمله به ایتالیا در اواخر سال ۲۰۱۹ میلادی استفاده میکرد، پیوند دهند.